Вопрос или проблема
Я пытаюсь настроить машину с Linux с аутентификацией LDAP и включенной учетной записью root. С сервером LDAP все в порядке, и все работает хорошо.
Я хотел отключить локальных пользователей, поэтому попытался отредактировать PAM. Я попробовал использовать pam-auth-update и снять галочку с “Unix authentication”. Локальным пользователям успешно отказано, но также и учетной записи root.
Сейчас я пробую разные вещи в файлах pam.d
, но, похоже, я несколько раз накосячил и не знаю, что делаю.
Редактируя файл /etc/pam.d/common-auth
:
auth sufficient pam_rootok.so
После того как я добавил эту строку, запроса пароля не стало, и вход происходит напрямую.
auth pam_succeed_if.so uid = 0 quiet
Я добавил эту строку, и она ничего не делает. Сейчас читаю конфигурацию PAM.
Может кто-то помочь мне понять и решить мою проблему?
Вы можете добавить что-то подобное (в начало файла), чтобы предотвратить вход локальных пользователей (кроме root).
auth [success=1 default=ignore] pam_succeed_if.so uid = 0 quiet
auth [success=die default=ignore] pam_localuser.so
Первая строка пропускает вторую строку, если это root, а вторая предотвращает вход локальных пользователей (в /etc/passwd
). На некорневых пользователях это не должно сказаться.
Ответ или решение
Доброго времени суток!
Для настройки аутентификации через LDAP и разрешения входа только для пользователя root в локальной системе Linux с отключенными локальными учетными записями, необходимо максимально тщательно подойти к конфигурации PAM (Pluggable Authentication Modules). Данная задача требует тщательной настройки, чтобы избежать проблем с доступом к системе. Рассмотрим последовательность действий, которая позволит добиться желаемого результата.
Шаг 1: Резервное копирование конфигураций
Прежде чем начинать изменения в файлах конфигурации PAM, настоятельно рекомендуется сделать резервную копию следующих файлов:
sudo cp /etc/pam.d/common-auth /etc/pam.d/common-auth.bak
sudo cp /etc/pam.d/common-account /etc/pam.d/common-account.bak
Это позволит вам восстановить исходную конфигурацию в случае возникновения ошибок.
Шаг 2: Настройка /etc/pam.d/common-auth
Для отключения локальных пользователей и разрешения входа только для root, откройте файл /etc/pam.d/common-auth
для редактирования:
sudo nano /etc/pam.d/common-auth
Добавьте следующие строки в начало файла:
auth [success=1 default=ignore] pam_succeed_if.so uid = 0 quiet
auth [success=die default=ignore] pam_localuser.so
auth required pam_unix.so nullok_secure
Пояснение:
- Проверка на UID 0: Первая строка проверяет, является ли пользователь root (UID 0). Если это так, пропускается следующая строка.
- Запрет локальных пользователей: Вторая строка запрещает локальным пользователям (с учетом данных из
/etc/passwd
) выполнение аутентификации. - Аутентификация Unix: Третья строка отвечает за стандартную аутентификацию Unix и добавлена для важных пользователей, если это необходимо.
Шаг 3: Настройка /etc/pam.d/common-account
Теперь откройте файл /etc/pam.d/common-account
:
sudo nano /etc/pam.d/common-account
Добавьте следующие строки в начало файла:
account [success=1 default=ignore] pam_succeed_if.so uid = 0
account [success=ignore default=bad] pam_localuser.so
Пояснение:
- Контроль доступа для root: Первая строка пропускает проверку для root пользователя.
- Запрет локальных учетных записей: Вторая строка предотвращает доступ локальных аккаунтов.
Шаг 4: Тестирование аутентификации
После внесения изменений перезагрузите систему или завершите сессию, чтобы проверить конфигурацию. Попробуйте войти в систему с локальными учетными записями и убедитесь, что они заблокированы, в то время как доступ через LDAP для root должен работать корректно.
Заключение
Эти действия должны помочь вам достичь целей по отключению локальных пользователей с одновременным разрешением доступа для root через LDAP. Обязательно внимательно следите за изменениями в конфигурациях PAM и тестируйте каждое изменение, чтобы избежать потери доступа к системе. Если возникнут проблемы, вы всегда сможете восстановить конфигурации из резервных копий.
Если у вас остались вопросы или необходима дополнительная помощь, не стесняйтесь обращаться. Удачи в настройке системы!